Datenschutzgrundverordnung - erster Referentenentwurf für neues Allgemeines Bundesdatenschutzgesetz veröffentlicht

EU-Datenschutzgrundverordnung und Allgemeines Bundesdatenschutzgesetz

Ab dem 25.05.2018 gilt die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in allen europäischen Mitgliedsstaaten. Anders als bei einer EU-Richtlinie bedarf es keiner weiteren Umsetzung in nationales Recht. Die Verordnung wird zunächst unmittelbar anwendbares Recht. Das Bundesinnenministerium (BMI) beschäftigt sich damit, die bestehenden deutschen Datenschutzregeln an die kommenden Bestimmungen anzupassen. Diese Anpassungen sind notwendig, weil die EU-Datenschutzgrundverordnung bereits ihrem Namen nach nur Grundsätzliches regelt und zahlreiche, regelungsbdürftige Handlungsspielräume für den nationalen Gesetzgeber bereit hält. Nun wurde ein erster Referentenentwurf zur Anpassung des Bundesdatenschutzgesetzes öffentlich.

Das Vorhaben dient zusätzlich der Umsetzung der Richtlinie EU 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Behörden zum Zwecke der Verhütung und Verfolgung von Straftaten. Im Interesse einer homogenen Rechtsentwicklung des allgemeinen Datenschutzrechts soll das Allgemeine Bundesdatenschutzgesetz (ABDSG) laut BMI , soweit nicht das ABDSG selbst oder bereichsspezifische Gesetze abweichende Regelungen treffen, auch für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten öffentlicher Stellen des Bundes Anwendung finden. Spezifische Regelungen für den Online-Bereich fehlen. Hier wird grundsätzlich die EU-DSGVO direkt anwendbar sein. Die Regelungen des TMG werden nach heutigem Stand voraussichtlich entfallen.

Da es sich um einen ersten Entwurf handelt, sind sicherlich noch Änderungen zu erwarten. Einen ersten umfassenden Eindruck von den künftigen Regelungen bietet der Entwurf jedoch bereits jetzt.

Kernpunkte der neuen Regelungen

Das neue ABDSG wird mit insgesamt 62 Paragrafen wesentlich umfangreicher als bislang sein. Viele der enthaltenen Regelungen zielen auf öffentlich-rechtliche Datenverarbeitungen ab. Für den Bereich der privaten Wirtschaft sieht die DSGVO ohnehin nur begrenze nationale Sonderoptionen vor.

1. Anwendungsbereich

Das Gesetz hat den Charakter eines „Auffanggesetzes“. § 2 Abs. 3 entspricht der bisherigen Regelung des § 1 Absatz 4 BDSG. In § 2 Abs.4 wird der Anwendungsbereich unter anderem auf Verarbeitungen beschränkt, bei denen der Verantwortliche oder der Auftragsdatenverarbeiter diese in einer inländischen (deutschen) Niederlassung tätigt. Das Marktortprinzip gilt für ausländische Anbieter ohnehin, hier ist es noch einmal präzisiert auf rein deutsche Anwendungsfälle. Dies entspricht dem Harmonisierungsgedanken der EU-DSGVO.

In den Definitionen (§ 3) finden sich größtenteils Wiederholungen aus der EU-DSGVO. Dies soll die angestrebte Kohärenz wahren.

2. Zweckänderung

Der Entwurf sieht in § 6 die Möglichkeit der zweckändernden Datenverarbeitung auch bei Unvereinbarkeit mit dem ursprünglichen Zweck vor. Die Regelung soll in den engen, an Artikel 23 Absatz 1 der EU-DSGVO orientierten Zielen eine Weiterverarbeitung zu nicht kompatiblen Zwecken durch öffentliche Stellen wie auch im Einzelfall durch Private ermöglichen. Hier wird kommt es nach wie vor auf eine Interessenabwägung mit den schutzwürdigen Rechten der Betroffenen an. Davon umfasst sind auch Datenübermittlungen.

3. Beschränkung von Betroffenenrechten

In den §§7 ff sind Beschränkungen der Rechte des Betroffenen für verschiedene Verarbeitungsszenarien enthalten. Besonders wichtig sind die Einschränkungen zu Auskunftspflichten soweit die Erfüllung einen unverhältnismäßigen Aufwand erfordert. 

4. Datenschutzbeauftragter und Beschäftigtendatenschutz

Der Entwurf nutzt die Öffnungen der EU-DSGVO und behält die ursprünglichen Regelungen hier grundsätzlich bei.

5. Eigenes Klagerecht der Datenschutzaufsichtsbehörden

In § 28 ist nun ein eigenes Klagerecht der Datenschutzaufsichtsbehörden vorgesehen. In ihrer Entschließung am 20.April 2016 hatte die Datenschutzkonferenz dieses Klagerecht noch einmal gefordert ebenso wie der Bundesrat vom 04.April 2016.Hintergrund waren die Diskussionen um die vom EuGH schließlich für ungültig erklärte Safe Harbor Entscheidung der EU-Kommission. Geklagt werden kann nun auf Feststellung, dass es die Zweifel der Aufsichtsbehörde an der Gültigkeit eines zur Rechtfertigung der Übermittlung angewendeten Angemes-senheitsbeschlusses der Kommission teilt. Eine Ungültigkeitsfeststellung ist damit nicht vorgesehen.

6. Bundesbeauftragter für Datenschutz als europäischer Vertreter

Die §§ 29ff sehen vor, dass und wie der Bundesbeauftragte für den Datenschutz als gemeinsamer Vertreter und Anlaufstelle im Europäischen Datenschutzausschuss fungieren soll. Als Stellvertreterin oder Stellvertreter des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter der Aufsichtsbehörde eines Landes (Stellvertreter). Diese Regelung nimmt Bezug auf Art. 51 Abs. 3 EU-DSGVO, wonach ein Verfahren sicherstellen soll, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten, soweit es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde gibt.